Risk Governance
Governança em Gestão de
Riscos
2014
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Tendências e Perspectivas
O que as últimas pesquisas nos
trazem?
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Transparência em Movimento
O Impacto Positivo da Governança
Empresas com boas práticas de governança, representadas
pelo índice IGC, são mais atraentes a investidores e
garantem um maior retorno aos acionistas.
900
118%
IGC
x
IBOVESPA
800
700
600
500
IBRx 50
IBRx
400
Ibovespa
IGC
300
200
100
0
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Transparência em Movimento
Os Desafios da Governança na Prática
Base: 76 empresas participantes na pesquisa.
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Transparência em Movimento
Governança em Números
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Riscos gerenciados
Principais categorias de riscos
10 principais riscos gerenciados
Expectativas para 2014
 Aderência às regras
 Aderência às regras
 Tributário e fiscal
 Trabalhista
 Trabalhista
 Segurança da informação
 Ética, fraude e canal de denúncia
 Fluxo de caixa
 Fluxo de caixa
 Reputação e imagem
 Reputação e imagem
 Investimento e Projetos
 Segurança da informação
 Tributário e fiscal
 Concorrência e mercado
 Ética, fraude e canal de denúncia
 Alçadas de aprovação
 Concorrência e mercado
 Gestão de contratos
 Gestão de Contratos
Outros riscos citados
Investimentos e projetos, Ambiental, Fatores externos, Crédito, Capacidade operacional, Contábil,
Regulamentação setorial, Câmbio, Taxa de juros, Anti-corrupção, Proteção da base de clientes,
Dependência de fornecedores, Retenção de talentos, Metas e remuneração variável, Mídias sociais,
Inovação, Relacionamento com acionistas e Fusão e aquisição.
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Destruição de
Valor
Destruidores de Valor
Um Estudo de Gestão de Riscos
Ao longo da década analisada (dez/2001 – dez/2012), 38% das 1 mil
maiores empresas de capital aberto sofreram perdas que destruíram
valor.
Perda de valor de
mercado em 20%
ou mais no mês,
relativa ao MSCI All
Country World
Index*
Embora grande parte no setores Financeiro, Seguros, Construção e
Manufaturas, a destruição de valor ocorreu em diversas indústrias.
A distribuição de eventos de perda nas 1 mil maiores empresas de capital aberto ao longo da
década atual
* Índice de ações listadas nos principais mercados desenvolvidos do mundo,
mantidos pela MSCI Inc., anteriormente conhecido como Morgan Stanley Capital
International.
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Um Estudo de Gestão de Riscos
Quase 90% das empresas foi
atingida por diversos riscos que se
materializaram paralelamente.
Frequentemente, um risco de
baixa vulnerabilidade se
materializou em conjunto com
outros riscos não previstos.
Motivos pela destruição de valor nas 100 empresas que tiveram maior queda
Destruidores de Valor
Gestão Integrada de
Riscos
Nossa Visão
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Gestão Integrada de Riscos
Fortalecimento de Governança
O que é a Gestão Integrada de Riscos Corporativos (ERM)?
A Gestão Integrada de Riscos Corporativos (ERM) é um processo continuo e conduzido pela
Administração para melhor identificar, entender e responder aos riscos chaves, que possam
impactar a Companhia em atingir seus objetivos de negócio.
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Gestão Integrada de Riscos
Metodologia da Inteligência em Riscos
Etapas e Princípios da Inteligência em Riscos
Papéis e Responsabilidades
Metodologia da
Inteligência em
Riscos
Envolvimento da Alta Administração
Programa de ERM “Top Down”
Infraestrutura para Gestão de Riscos
Avaliação Periódica da Gestão de Riscos
Responsabilidade das Áreas de Negócio
9 Princípios para a construção de
Utilização de Padrões e Metodologias
um processo de Inteligência em Risco
Definição e Entendimento dos Riscos
Apoio das Áreas de Suporte
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Risk Disclosure (Risk Map)
Governance, Strategy & Planning
Risk Intelligence
Governance
Corporate
Responsibility
Corporate
Ethics
Governance
Board
Effectiveness/
Knowledge
Management
/
15 Compensation
Performance
Incentives/
&Sustainability
Biodiversity
All data taken from public sources
(CR&S)
Reputation /
Competition
11
Communication
Climate
Credit Rating
Corrective
Actions and
Discipline
Ethical Culture/
Tone at the top
17
Community
Investment
Customer
Demands
Energy Management
and
Economic
Conditions/
Industry Trends
Alternative Sourcing
5
Capital
Planning
Change
Supply Chain
Compliance
Reporting
Compliance with
Accounting
Standards
Sales,
Marketing and
Communication
Architecture
Bankruptcy
Discontinuance
and Divestures
Branding
and
Reputation
Planning
Communicat
ion and
Training
Health and
Welfare
Benefits
Asset
Management
Competition
Innovation,
Research, and
Development
Communication
Sourcing
Compliance
Culture
Financial
Disclosure
Capital
Managemen
t
Human
Resources
Policies and
Procedures
Business
Continuity
Management
Contract
Management
Launch
Production
Compliance
Information
Managemen
t
Financial
Information
Availability
Physical
Security
Credit
Implications of
Significant
Events
Change
Managemen
t
Corporate
Investigations
Liability
Distribution
Delivery
Compliance
Organization
Financial
Statement
Fraud
5.
Labor Relations
Contracting and
Outsourcing
Environmental,
Health & Safety
(EH&S)
Product
Design/
Quality
E-Commerce/
Internet
Strategy
Returns
Compliance
Reporting
Management
Reporting
6.
7.
8.
Alliances
Finance
Human
Resources
Facilities and
Equipment
Accounting
Corporate
Culture
Intangible
Assets
Audit
Quality
Personal
Safety
9
Knowledge
Managemen
t
4
Business
Concentration
Business Model
6
Operational
Customers
Planning
Risk
Oversight
Investigation
Natural
Resource
Utilization and
Accounting
Geo-political
Transparency
and Financial
Integrity
Monitoring and
Auditing
Philanthropy
Hazards/
Catastrophic
Loss
Policies and
Project
Procedures
Financing
External
Fraud
Information
Technology
Sustainability
Strategy
Third Party/
Joint
Venture
Requiremen
ts
Structure and
Oversight
Training
Customer
Support
3.
4.
Extended
Enterprise
Process
Management
Growth
Taxation
Insurance and
Hedging
Organization
Structure
Information
Security
Finance &
Accounting
Production
Investor
Relation
s
Controls and
Monitoring
Regulatory
Reporting
Innovation
Utilization
Liquidity
Operations
Government
Investigations
Substitution
Marketing
Programs
Policies and
Procedures
Reporting
Payroll
Physical and
Environmental
Intellectual
Property (IP)
Technology
Obsolescence
Market
Research
Risk
Assessment
Statutory
Reporting
10.
Testing
Marketing
Strategy
Supervision
Sustainability
Reporting
11.
Timing
Public
Relation
s
Tax Reporting
12.
Scenario
8
Laws
and
Regulations
Markets
Customer
Relations/
Performance
Planning
Resource
Scarcity
2.
Management
Markets
2
Evaluation
1.
Financial
Asset
Investment
Program
Assessment
and
Governance, Strategy &
Planning
Product
Development
Corporate
Assets
13
Fair Trade
Certification
Relations
Reporting
Legal
Strategy
14
Management
3
Ethics
Reporting
Stakeholder
Business
Continuity
Compliance
(BCM)
Alignment
1
Planning
12
Addressing
Allegations
16
Corporate
Responsibility and
Sustainability
External
Factors
(CR&S)
10
Board Structure
and Leadership
Operations/Infrastructure
Strategy and Planning
Waste
Reduction and
Closed Loop
Production
Divestures
Planning/
Budgeting/
Forecasting
Retirement
Programs
Privacy and
Data
Protection
Labor and
Employment
Issues
Outsourcing
Taxation
Talent
Pipeline/
Recruitment
Problem
Management
Legal and
Regulatory
Compliance
Training and
Development
Project
Managemen
t
Legal Entity
Planning
Pricing
Records
Managemen
t
Litigation
and Dispute
Resolution
Technol
ogy
Technology
Licensing
Records and
Information
Management
Mergers/
Acquisitions/
Sustainable
Water Quality
Pension
s
Performance/ Talent
Management and
Compensation
Policy
7
Sales
Strategy
Quality
9.
13.
14.
15.
16.
Vision,
Mission
and
Values
Privacy and
Security Laws
17.
Reputation / Stakeholder
Relations (17 times) (C&IP, FSI,
E&R, TMT)
Mergers / Acquisitions/ Divestures
(17 times) (C&IP, FSI, E&R, TMT)
Capital Planning (16 times) (C&IP,
FSI, E&R)
Operational Planning (13 times)
(C&IP, FSI, E&R, TMT)
Business Concentration (11 times)
(C&IP, E&R, TMT)
Customers (7 times) (C&IP, E&R,
TMT)
Pricing (7 times) (C&IP, FSI, E&R)
Growth (5 times) (C&IP, E&R,
TMT)
Business Model (5 times) (C&IP,
E&R)
Board Structure and Leadership (4
times) (C&IP, E&R)
Climate Change (3 times) (C&IP,
E&R)
Business Continuity Management
(BCM) (3 times) (C&IP, E&R)
Extended Enterprise (3 times)
(C&IP, E&R)
Alliances (2 times) (C&IP, E&R)
Compensation / Performance
Incentives / Alignment (1 time)
(C&IP)
Corporate Responsibility and
Sustainability (CR&S) (E&R)
Ethics Reporting (1 time) (C&IP)
C&IP - Consumer and Industrial Products Industry
FSI - Financial Services Industry
E&R - Energy and Resources Industry
TMT - Technology, Media and Telecommunications Industry
Risks disclosed by one or more but less than eight
FPI Filers
12
Risks disclosed by eight or more but less than
twenty-one FPI Filers
Risks disclosed by twenty-one or more but less
than fifty-one FPI Filers
Risks disclosed by fifty-one or more FPI Filers
Gestão Integrada de Riscos
Níveis de decisão para o Apetite ao Risco
Sumarizado
Detalhe do Fluxo da
Informação
Critério da Escala
Definição do percentual do
impacto:
• EBITDA
• Receita
• Margem
• Crescimento dos ativos
• Lucro
• Liquidez
Definição de tolerância aos riscos ou
do nível de variação aceitável:
• Produtos e Serviços
• Negócios / Segmento de Clientes
• Performance do Negócio
• Incidentes Regulatórios
Definição individual dos
riscos com base em:
• Perfil do cliente/
consumidor
• Transação
• Atividade
• Evento
o
mpl
e
x
E
Nível de
Decisão
Alta
Administração
Comitê de Riscos
Decisões das
Áreas de Negócio
Decisões
Individuais dos
Riscos
Detalhado
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Gestão Integrada de Riscos
Estruturação do Processo de ERM
Monitoramento /
Relatórios
Gestão de planos de ação
Gestão de riscos e perdas e
incidentes
Auditoria
Avaliação
de Riscos
Testes de Compliance
Self
Controle
Assessment
Repositório de informações (Dados Mestres)
Hierarquia de negócios
Ativos
Regulamentações
Produtos
Processos
Fornecedores
Riscos
Pessoas
Controles
Locais
Reporte dos Riscos
Monitoramento contínuo
Painéis de controle analíticos e
consolidados
Resposta aos riscos e
acompanhamento dos planos de
ação
Monitoramento de riscos e
incidentes materializados
Gestão Integrada de Riscos da
Companhia englobando Gestão de
Riscos, Controles Internos,
Compliance e Auditoria Interna
Definição de estrutura padrão para
Gestão de Riscos:
Processos, Dicionário de Riscos ,
áreas gestoras, normas e contas
contábeis.
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
GRC – Governança, Riscos e Compliance
Linguagem única de riscos nas áreas de negócios
Controles Internos
Riscos
Governança
Cyber
Compliance
Estrutura Integrada da ferramenta GRC
Processos
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Gestão Integrada de Riscos
Estruturação do Processo de ERM
Governança Corporativa
Processos de Negócio
Atividades de Suporte
1º Linha de Defesa: Processos de negócio e suporte
Identificar Riscos
e Controles
Responder
aos Riscos
Monitorar os
Riscos
Reportar
os Riscos
Estabelecer
Políticas
Definir
linguagem
comum de riscos
Mensurar
os Riscos
Auditar
Processos
Identificar
falhas de controle
Certificar o
ambiente de
CI
Auditar a
Companhia
Identificar
falhas de controle
Certificar a
Companhia
2º Linha de Defesa: Riscos, Controles Internos e Compliance
Identificar as
Regulamentações
3º Linha de Defesa: Auditoria interna
Avaliar
Riscos
4º Linha de Defesa: Auditoria externa
Avaliar
Riscos
Gestão e Monitoramento Integrado
Implementação da Estrutura e do Processo de Gerenciamento
Exemplos de painéis para monitorar os riscos
Gestão de
Riscos
Gestão de Planos de Ação
Delegação e monitoramento de ações
(Conselhos e Comitês)
Plano
Avaliação
de Riscos
Preparação
Organização
Processo
Biblioteca
Avaliação
de
Controles
Análise dos Riscos
Risco
Controle
Documentação
Ações
Self
Assessment
Relatórios
Avaliação
Monitoramento
Estruturação da
Governança em Riscos
Monitoramento Contínuo / Audit Analytics
Racionalização dos processos de Avaliação e monitoramento dos riscos e controles
Modelo GRC
Implementação da Estrutura e do Processo de Gerenciamento
Exemplos de painéis para monitorar os riscos
Painel de Indicadores
Indicador de Riscos
Painel de Indicadores
Indicador de Riscos
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Inteligência em Riscos
Desenho e efetividade operacional
Maturidade
3 a 6 Anos
Otimizado
“Inteligência em
Riscos”
Gerenciado
Inicial
Não
Sistematizado
Estabilizado
Extensão da documentação, conscientização e monitoramento
Inicial
“Tribal & Heroic”
• “Ad-hoc”/ caótico.
• Dependente de
colaboradores
heróicos,
capacitados e
com sabedoria
verbal.
Não Sistematizado
“Specialist Silos”
• Atividades
independentes de
gerenciamento de
riscos.
• Abordagem limitada
no relacionamento
entre riscos.
• Alinhamento limitado
entre riscos e
estratégia.
• Segregação das
funções de
monitoramento e
reporte.
Estabilizado
“Top Down”
• Políticas,
procedimentos e
responsabilidades de
riscos definidas.
• Avaliação rotineira e
qualitativa de riscos.
• Abordagem “topdown” e reativa.
• Disseminação de
conhecimento entre as
funções de risco.
• Equipe dedicada.
Gerenciado
“Systemic RM”
• Atividades de
gerenciamento de riscos
coordenadas entre as
áreas/ funções.
• Definição de apetite ao
risco.
• Utilização de métricas
para avaliação.
• Abordagem “bottom-up”
e pró-ativa.
• Monitoramento, registro e
reporte de riscos na
Companhia.
• Implementação
tecnológica.
Otimizado
“Risk Intelligent”
• Inerente ao planejamento
estratégico, alocação de
capital, desenvolvimento
de produtos etc.
• Indicadores de risco
confiáveis.
• Modelos/ cenários de risco.
• Gerenciamento de riscos é
responsabilidade de todos.
• “Benchmarking” na
indústria.
Aspectos Críticos
•
Lei 12.846 - Anti-Corrupção
•
Novo Framework COSO 2013
•
Cyber Security
•
Modelos de Governança/Compliance
•
Gestão de Crises
•
Quantificação/apetite a riscos
•
Ferramentas GRC
Publicações - Informações Adicionais
www.deloitte.com.br
[email protected]
© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.